Vulnérabilités de l'IoT grand public : quand l'interconnectivité signifie des risques partagés

CRÉDIT D'IMAGE:
Crédit image
iStock

Vulnérabilités de l'IoT grand public : quand l'interconnectivité signifie des risques partagés

Vulnérabilités de l'IoT grand public : quand l'interconnectivité signifie des risques partagés

Texte du sous-titre
Grâce à une augmentation des appareils intelligents comme les appareils électroménagers, les gadgets de fitness et les systèmes de voiture, les pirates ont beaucoup plus de cibles parmi lesquelles choisir.
    • Auteur :
    • Nom de l'auteur
      Prévision quantique
    • 5 juillet 2023

    Faits saillants des aperçus

    Alors que l'industrie de l'Internet des objets (IoT) continue d'innover, elle est aux prises avec des problèmes de cybersécurité notables en raison du fait que les consommateurs négligent de mettre à jour les mots de passe par défaut des appareils et que les fabricants introduisent des fonctionnalités non testées. Ces défis sont aggravés par le manque de divulgation publique des vulnérabilités et par le fait que les entreprises n'ont pas de plan clair pour les gérer. Bien qu'il y ait une certaine utilisation d'accords de non-divulgation, de programmes de primes de bogues et de divulgation coordonnée des vulnérabilités (CVD) comme stratégies de gestion des risques, l'adoption à l'échelle de l'industrie des politiques de divulgation des vulnérabilités reste faible. 

    Contexte des vulnérabilités de l'IoT grand public

    Bien que les appareils tels que les assistants domestiques et les caméras de sécurité intelligentes présentent des avantages, l'industrie de l'IoT a encore un long chemin à parcourir en termes de cybersécurité. Malgré les progrès de la conception et de l'infrastructure, ces appareils restent vulnérables aux cyberattaques. Ce problème est encore aggravé par le fait que de nombreux consommateurs ne connaissent pas les meilleures pratiques pour mettre à niveau les systèmes d'exploitation de leurs appareils. Selon le magazine IoT, 15 % de tous les propriétaires d'appareils IoT ne modifient pas les mots de passe par défaut, ce qui signifie que les pirates peuvent accéder à 10 % de tous les appareils associés avec seulement cinq combinaisons de nom d'utilisateur et de mot de passe.

    D'autres problèmes de sécurité sont enracinés dans la façon dont ces appareils sont configurés ou entretenus. Si une machine ou un logiciel n'est pas sécurisé (par exemple, il ne peut pas être corrigé avec de nouvelles mises à jour de sécurité ou les utilisateurs finaux ne peuvent pas modifier le mot de passe par défaut), cela pourrait facilement exposer le réseau domestique d'un consommateur à une cyberattaque. Un autre défi est lorsqu'un développeur ferme ses portes et que personne ne reprend son logiciel ou ses plates-formes. 

    Les attaques de l'Internet des objets varient en fonction de la machine ou de l'infrastructure. Par exemple, les vulnérabilités des logiciels ou des micrologiciels peuvent permettre aux pirates de contourner les systèmes de sécurité des véhicules électriques (VE). Pendant ce temps, certains fabricants d'IoT ajoutent souvent de nouvelles fonctionnalités à leurs appareils ou interfaces sans les tester en profondeur. Par exemple, quelque chose d'apparemment simple, comme un chargeur de VE, peut être piraté pour sous-charger ou surcharger, entraînant des dommages physiques.

    Impact perturbateur

    Selon une enquête menée en 2020 par l'IoT Security Foundation, l'un des domaines dans lesquels les fabricants d'IoT n'en faisaient pas assez était de divulguer publiquement les vulnérabilités. Un moyen clé d'améliorer la sécurité des appareils connectés à l'IoT consiste à permettre aux chercheurs de signaler facilement les vulnérabilités qu'ils trouvent directement aux fabricants. Dans le même temps, les entreprises doivent communiquer comment elles réagiront une fois ces problèmes identifiés et quel délai peut être prévu pour les correctifs logiciels ou autres correctifs.

    Pour lutter contre les menaces émergentes en matière de cybersécurité, certaines entreprises s'appuient sur des accords de non-divulgation. D'autres attirent les chercheurs avec des primes de bogue (c'est-à-dire en payant pour les vulnérabilités découvertes). Il existe également des services spécialisés que les entreprises peuvent retenir pour gérer les divulgations et les programmes de primes de bogues. Une autre technique de gestion des risques est la divulgation coordonnée des vulnérabilités (CVD), où le producteur et le chercheur travaillent ensemble pour résoudre un problème, puis publient simultanément le correctif et le rapport de vulnérabilité afin de réduire les dommages éventuels aux utilisateurs. 

    Malheureusement, certaines entreprises n'ont aucun plan pour gérer les divulgations. Alors que le nombre d'entreprises dotées de politiques de divulgation des vulnérabilités est passé de 13.3 % en 2019 à 9.7 % en 2018, l'adoption par le secteur est restée généralement faible (2022). Heureusement, il existe de plus en plus de réglementations imposant des politiques de divulgation. En 2020, le gouvernement américain a adopté la loi sur l'amélioration de la cybersécurité de l'Internet des objets, exigeant que les fournisseurs d'IdO aient des politiques de divulgation vulnérables avant de vendre aux agences fédérales. 

    Implications des vulnérabilités de l'IoT grand public

    Les implications plus larges des vulnérabilités de l'IoT grand public peuvent inclure : 

    • Les gouvernements réglementant les fabricants d'IoT pour qu'ils aient des politiques de divulgation et des tests rigoureux et transparents.
    • De plus en plus d'entreprises technologiques forment des associations pour convenir de normes communes et développer des protocoles de cybersécurité unifiés qui peuvent rendre les appareils interopérables et de plus en plus sûrs.
    • Smartphones et autres appareils personnels grand public mettant en œuvre une authentification multifacteur avancée et une identification biométrique pour améliorer la cybersécurité.
    • Augmentation des investissements dans la cybersécurité des véhicules électriques et autonomes pour prévenir le piratage numérique.
    • Plus d'attaques d'écoute clandestine, où les criminels prennent le contrôle des canaux de communication non cryptés ; cette tendance à la criminalité pourrait inciter davantage de consommateurs à préférer les applications de messagerie cryptées (EMA).
    • Plus d'incidents d'attaques d'ingénierie sociale qui profitent d'une faible protection par mot de passe, en particulier parmi les utilisateurs d'appareils plus anciens.

    Questions à commenter

    • Comment vous assurez-vous que vos appareils IoT sont bien protégés ?
    • De quelles autres manières les consommateurs peuvent-ils améliorer la sécurité de leurs appareils IoT ?

    Ajouter à la liste

    Références Insight

    Les liens populaires et institutionnels suivants ont été référencés pour cet aperçu :

    Le magazine IdO Pourquoi les vulnérabilités de sécurité de l'IoT grand public menacent l'industrie | 29 septembre 2020
    ResearchGate IoT grand public : études de cas et solutions sur les vulnérabilités de sécurité
    Fondation de sécurité IoT IoT grand public : Comprendre l'utilisation contemporaine de la divulgation des vulnérabilités Rapport d'étape 2020
    ajouter à la liste
    références prévisionnelles
    Tags
    Catégories
    La Brochure
    Technologie
    Industrie
    Technologie gouvernementale
    Services de technologie de l'information
    Services Internet et vente au détail
    Infrastructure de serveur
    Services de télécommunications
    EXPLOREZ LES SERVICES DE QUANTUMRUN FORESIGHT
    Plateforme de prospective Services de conseil en prospective
    RETOUR À LA PAGE D'ACCUEIL
    icône (sur le bord gauche de l'écran)
    Aller en haut